Задача:
- JS-файлы кешировать модулем js-aggregator (в Д6 входит в ядро)
- CSS-файлы кешировать модулем js-aggregator (в Д6 входит в ядро)
- Удалить все текстовые файлы из корня сервера (кроме robots.txt)
- Удалить номер версии в файле:
- .htaccess
- robots.txt
- drupal.js
- Ограничить доступ к файлу update.php, потому что показывается разная картинка для разной версии.
Полезные рецепты по этой теме
Ограничение доступа к файлу cron.php
Использованные материалы
Bookmark/Search this post with
Комментарии
Не вполне понял каким образом агрегатор спасет вас опознавание версии.
Я ведь как атакующий знаю расположение оригинальных файлов, и могу напрямую обратиться к ним, минуя агрегат версию.
Идея в том, чтобы скрыть версию, а не сам Drupal.
Так я ж и говорю что так вы версию не скрываете.
мне как атакующему класть на агрегат версию js или css потому что я знаю где на этом же сайте лежат оригиналы и посмотрю в них.
Логичнее было бы не скрывать версию, а напротив оставить эти файлы только с исправленными номерами на версии для которых в сети есть експлоиты. И поставить автобан тех адресов от куда попытаются этот експлоит применить. Ну или хотя бы уведомить о попытке.
Интересная мысль! В чем смысл привлечения хакеров? Забанить айпи прокси-сервера?!
То, что это "защита от дурака" - согласен полностью. Но эффективность защиты зависит от стоимости её реализации. В данном случае соотношение цена/качество очень хорошее - малыми усилиями получаем немного маскировки.